พบช่องโหว่ระดับ Critical ใน JDBC Driver ของ Amazon Redshift ทำให้แอปพลิเคชันขององค์กรตกอยู่ในความเสี่ยงขั้นรุนแรงต่อการถูกโจมตีแบบ Remote Code Execution (RCE) ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ง่าย ๆ โดยการแก้ไข URL ที่ใช้ในการเชื่อมต่อฐานข้อมูล
ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถเข้าควบคุมกระบวนการทำงานของแอปพลิเคชันจากภายใน ซึ่งอาจทำให้ข้อมูลสำคัญขององค์กรตกอยู่ในความเสี่ยงต่อการเข้าถึงโดยไม่ได้รับอนุญาต และส่งผลให้ระบบทั้งหมถูกควบคุม และสร้างความเสียหายได้
เจาะลึกเทคนิคช่องโหว่ใน JDBC Driver ของ Amazon Redshift
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-8178 ซึ่งเป็นช่องโหว่ที่มีระดับความรุนแรงสูง โดยมีสาเหตุมาจากกลไก unsafe class loading
โดยเฉพาะแพ็กเกจ Maven ที่มีชื่อว่า com.amazon.redshift:redshift-jdbc42 ที่มีช่องโหว่ในการ sanitize พารามิเตอร์บางตัวใน URL ที่ใช้เชื่อมต่อฐานข้อมูล เมื่อแอปพลิเคชันพยายามเชื่อมต่อกับฐานข้อมูลโดยใช้ URL ที่ถูกสร้างขึ้นอย่างไม่ปลอดภัย ไดรเวอร์จะนำพารามิเตอร์เหล่านี้ไปประมวลผลอย่างไม่มีการป้องกัน
จากนั้น ไดรเวอร์จะทำการโหลดคลาสต่าง ๆ ที่มีอยู่ใน classpath ของแอปพลิเคชัน ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถสั่งรันโค้ดอันตรายภายใน Java Virtual Machine (JVM) ของแอปพลิเคชันได้โดยตรง
แม้ว่าความซับซ้อนในการโจมตีจะถูกประเมินไว้ในระดับสูง แต่ผลกระทบที่ตามมาหากการโจมตีประสบความสำเร็จนั้น ถือว่าสร้างความเสียหายอย่างร้ายแรง
รูปแบบการโจมตี และความเสี่ยงต่อองค์กร
ในความเป็นจริง แอปพลิเคชันจำนวนมากมักจะสร้าง URL สำหรับเชื่อมต่อ JDBC ขึ้นมาแบบไดนามิก (สร้างขึ้นตามสถานการณ์จริง) โดยดึงค่ามาจาก environment variables, ไฟล์ configuration หรือข้อมูลที่ผู้ใช้ป้อนเข้ามา
หากแอปพลิเคชันไม่มีการ validate ข้อมูลที่รับเข้ามานี้ ก่อนจะส่งต่อไปยังไดรเวอร์ฐานข้อมูล ผู้โจมตีจะสามารถเพิ่มพารามิเตอร์ที่เป็นอันตรายต่อท้าย String ดังกล่าวได้ทันที และเมื่อการเชื่อมต่อถูกเปิดใช้งาน ช่องโหว่ดังกล่าวจะสั่งรันชุดคำสั่งอันตรายของผู้โจมตี ส่งผลให้ผู้โจมตีได้รับสิทธิ์การเข้าถึงเครือข่าย และระบบเท่ากับแอปพลิเคชันต้นทางในทันที
ทำให้ผู้โจมตีจะสามารถขโมยข้อมูลสำคัญ เปลี่ยนแปลงสถานะการทำงานภายในของแอปพลิเคชัน หรือขัดขวางการให้บริการจนระบบหยุดชะงักลง
เนื่องจากการโจมตีนี้ดำเนินการผ่านเครือข่าย และไม่จำเป็นต้องอาศัยการโต้ตอบจากผู้ใช้ จึงมีความเสี่ยงสูงต่อการถูกโจมตีด้วยเครื่องมืออัตโนมัติ และขยายผลโจมตีไปยังส่วนอื่น ๆ ภายในเครือข่าย
แนวทางการแก้ไข และคำแนะนำ
โดยขณะนี้ทีมรักษาความปลอดภัยของ AWS และทีมพัฒนาได้ออกแพตช์แก้ไขปัญหาดังกล่าวในเวอร์ชันล่าสุดเรียบร้อยแล้ว ดังนั้นองค์กรที่ใช้งาน Amazon Redshift JDBC Driver จำเป็นต้องดำเนินการอัปเดตแพตช์อย่างเร่งด่วนเพื่อรักษาความปลอดภัยโครงสร้างพื้นฐานระบบฐานข้อมูล
ผู้เชี่ยวชาญด้านความปลอดภัยเรียกร้องให้องค์กรต่าง ๆ บน GitHub เร่งตรวจสอบระบบที่ใช้แพ็กเกจที่ได้รับผลกระทบ และตรวจสอบให้แน่ใจว่าไม่มีโค้ดที่มีช่องโหว่ดังกล่าวทำงานอยู่
นอกจากนี้ สำหรับโปรเจกต์ที่มีการ Fork หรือดัดแปลงซอร์สโค้ดนี้ไปใช้งาน จำเป็นจะต้องนำแพตช์แก้ไขจาก Upstream Fixes มา Merge เข้ากับระบบของตนเองด้วย เพื่อป้องกันจากการถูกโจมตี
ที่มา : cybersecuritynews
You must be logged in to post a comment.